Zennio KNX Secure Securel v2 Encrypted Relay
ОНОВЛЕННЯ ДОКУМЕНТУ
| Версія | Зміни | Сторінка(и) |
| b |
Додано інструкції щодо відновлення заводських налаштувань. |
ВСТУП
До цього часу дані, що передаються в системі автоматизації KNX, були відкритими, ними міг зчитувати та маніпулювати будь-хто, хто мав певні знання та мав доступ до середовища KNX, тому безпека гарантується шляхом запобігання доступу до шини KNX або пристроїв. Нові протоколи KNX Secure додають додатковий захист зв’язку в установці KNX, щоб запобігти подібним атакам.
Пристрої з захищеним KNX зможуть безпечно спілкуватися з ETS та будь-яким іншим захищеним пристроєм, оскільки вони включатимуть систему аутентифікації та шифрування інформації.
Існує два типи безпеки KNX, які можуть бути реалізовані одночасно в одній установці:
- KNX Data Secure: захищає зв’язок у межах інсталяції KNX.
- KNX IP Secure: для інсталяцій KNX з IP-зв’язком забезпечує захист зв’язку через IP-мережу.
Захищений пристрій KNX відноситься до пристрою, який має основні можливості для забезпечення безпечного зв’язку, хоча це не завжди потрібно. Незахищений зв’язок на захищених пристроях KNX дорівнює зв’язку, встановленому між пристроями без захисту KNX.
Використання безпеки залежить від двох важливих параметрів у проекті ETS:
- Безпека введення в експлуатацію: встановлює, чи має бути захищеним зв’язок з ETS під час введення в експлуатацію чи ні, і відкриває можливість активації безпеки під час виконання.
- Безпека під час виконання: встановлює, чи має бути захищений зв’язок між пристроями під час виконання. Іншими словами, він визначає, які групові адреси мають бути безпечними. Щоб активувати безпеку під час виконання, необхідно активувати безпеку введення в експлуатацію.
Активація безпеки на захищених пристроях KNX є необов’язковою. Якщо він активований, він встановлюється індивідуально в групових адресах, так що всі або лише частина об’єктів можуть бути захищені, тоді як решта може нормально функціонувати з незахищеними пристроями. Іншими словами, пристрої з KNX Secure і без нього можуть співіснувати в одній установці.
КОНФІГУРАЦІЯ
Починаючи з версії ETS 5.7, увімкнено використання безпеки KNX і всі його функції для роботи із захищеними пристроями.
У цьому розділі представлено керівництво з налаштування безпеки KNX у проектах ETS.
БЕЗПЕКА ДАНИХ KNX
Його реалізація забезпечує зв'язок між кінцевими пристроями. Захищені пристрої KNX передаватимуть зашифровані телеграми на інші пристрої, які також мають захищений KNX.
Для кожної групової адреси можна буде вибрати, чи буде спілкування безпечним чи ні.
БЕЗПЕЧНИЙ ВВЕДЕННЯ В ЕКСПЛУАТАЦІЮ
Коли пристрій має безпечне введення в експлуатацію, зв’язок між ETS і пристроєм буде здійснюватися в безпечному режимі.
Для пристрою має бути налаштовано безпечне введення в експлуатацію щоразу, коли є безпека під час виконання, тобто один із його об’єктів пов’язано з адресою безпечної групи (див. розділ 2.1.2).
Примітка: Зверніть увагу, що наявність захищеного пристрою в проекті ETS передбачає захист самого проекту паролем.
ПАРАМЕТЕРИЗАЦІЯ ETS
Безпечне введення в експлуатацію можна встановити на вкладці «Конфігурація» у вікні «Властивості» пристрою.
Безпечне введення в експлуатацію [Активовано / Дезактивовано]: дає змогу вибрати, чи має ETS обмінюватися даними з пристроєм у безпечному режимі чи ні, тобто увімкнути або вимкнути захист KNX на пристрої.
Якщо вибрано опцію «Активовано», пароль для проекту буде обов’язковим.
Рисунок 3. Проект – встановлення пароля.
Додатковий спосіб встановити пароль на проект — через головне вікно («Завершеноview») ETS. При виборі проекту праворуч відобразиться розділ, де в розділі «Деталі» можна ввести потрібний пароль.
Рисунок 4. ETS – Пароль пристрою.
Додати сертифікат пристрою: якщо безпечне введення в експлуатацію «Активовано», ETS, на додаток до пароля, запитає унікальний сертифікат для пристрою.
Сертифікат, який потрібно додати [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx], складається з 36 буквено-цифрових символів, згенерованих із серійного номера та FDSK (заводського ключа налаштування за замовчуванням) пристрою. Він додається до пристрою та містить відповідний QR-код для легкого сканування.
Рисунок 5. Проект – Додати сертифікат пристрою.
Сертифікат пристрою також можна додати з головного вікна ETS («Завершеноview»), перейшовши до розділу «Безпека» нового вікна, яке відображається праворуч під час вибору проекту.
Рисунок 6. ETS – Додати сертифікат пристрою.
Під час першого безпечного введення в експлуатацію ETS замінює FDSK пристрою на новий ключ (Tool Key), який генерується окремо для кожного пристрою.
Якщо проект буде втрачено, разом із ним будуть втрачені всі ключі інструментів, отже, пристрої неможливо перепрограмувати. Щоб мати можливість їх відновити, FDSK потрібно скинути.
FDSK можна відновити двома способами: після вивантаження, за умови, що воно виконується з проекту, в якому було здійснено перший введення в експлуатацію, або після ручного скидання заводських налаштувань (див. розділ 3).
БЕЗПЕЧНЕ ГРУПОВЕ СПІЛКУВАННЯ
Кожен об'єкт захищеного пристрою може передавати свою інформацію в зашифрованому вигляді, таким чином встановлюючи безпеку зв'язку або роботи.
Щоб об’єкт мав безпеку KNX, його потрібно налаштувати за адресою самої групи, тобто адресою, з якою об’єкт буде пов’язано.
ПАРАМЕТЕРИЗАЦІЯ ETS
Параметри безпеки зв’язку визначаються на підвкладці «Конфігурація» у вікні «Властивості» адреси групи.
Малюнок 7. KNX Data Secure – Безпека групової адреси.
Безпека [Автоматично / Увімк. / Вимк.]: у налаштуваннях «Автоматично» ETS вирішує, чи активовано шифрування, якщо два пов’язані об’єкти можуть безпечно обмінюватися даними.
Примітки:
- Усі об’єкти, пов’язані з адресою захищеної групи, мають бути захищеними об’єктами.
- Один і той же пристрій може мати як безпечну, так і незахищену групову адресу.
Захищені об’єкти можна ідентифікувати за допомогою «блакитного щита».
Малюнок 8. Захищений об'єкт.
KNX IP SECURE
Безпека IP KNX розроблена для інсталяцій KNX з IP-зв’язком. Його реалізація забезпечує безпечний обмін даними KNX між системами через безпечні пристрої KNX з IP-з’єднанням.
Цей тип безпеки застосовується на шинних інтерфейсах і лише в середовищі IP, тобто захищені телеграми передаються між захищеними IP-сполучниками KNX, пристроями та інтерфейсами.
Для того, щоб передача телеграм по головній або підлінії також була безпечною, на шині KNX має бути активована безпека (див. розділ 2.1).
Рисунок 9. Захищена схема KNX IP
БЕЗПЕЧНИЙ ВВЕДЕННЯ В ЕКСПЛУАТАЦІЮ
У цьому типі безпеки, крім безпечного введення в експлуатацію в розділі 1.1.1, також можна активувати «Безпечне тунелювання». Цей параметр можна знайти на вкладці «Налаштування» у вікні властивостей пристрою в правій частині екрана ETS.
ПАРАМЕТЕРИЗАЦІЯ ETS
Параметри безпеки введення в експлуатацію та тунелювання визначаються на вкладці «Конфігурація» у вікні «Властивості» пристрою.
Рисунок 10. KNX IP Secure – безпечне введення в експлуатацію та тунелювання.
На додаток до безпечного введення в експлуатацію та кнопки «Додати сертифікат пристрою», які раніше пояснювалися в розділі 2.1.1, також з’являться:
- Безпечне тунелювання [Увімкнено / Вимкнено]: параметр доступний, лише якщо ввімкнено безпечне введення в експлуатацію. Якщо ця властивість «Увімкнено», дані, що передаються через тунельні з’єднання, будуть безпечними, тобто інформація буде зашифрована через IP-носій. Кожна адреса тунелю матиме власний пароль.
Рисунок 11. Пароль адреси тунелювання.
Вкладка IP виробу також містить пароль введення в експлуатацію та код автентифікації, які необхідні для встановлення безпечного з’єднання з пристроєм.
Малюнок 12. Пароль введення в експлуатацію та код автентифікації.
Примітка: Рекомендується, щоб код автентифікації для кожного пристрою був індивідуальним (бажано стандартним, встановленим в ETS).
Пароль для введення в експлуатацію запитується, коли в ETS вибрано IP-інтерфейс для підключення до нього (код автентифікації необов’язковий):
Малюнок 13. Запит на введення пароля під час вибору безпечного IP-інтерфейсу.
ЗАВОДСЬКІ НАЛАШТУВАННЯ
Щоб запобігти виведенню пристрою з ладу в разі втрати проекту та/або ключа інструменту, за допомогою якого він запрограмований, його можна повернути до заводського стану, відновивши FDSK, виконавши наведені нижче дії.
- Переведіть пристрій у безпечний режим. Це досягається шляхом увімкнення живлення з натиснутою кнопкою програмування, доки світлодіод програмування не почне блимати.
- Відпустіть кнопку програмування. Він продовжує блимати.
- Натисніть кнопку програмування протягом 10 секунд. Під час натискання кнопки вона світиться червоним. Скидання відбувається, коли світлодіод миттєво вимикається.
Цей процес, окрім ключа інструменту, також видаляє пароль BCU та скидає індивідуальну адресу до значення 15.15.255.
Вивантаження прикладної програми також видаляє ключ інструмента та пароль BCU, хоча в цьому випадку потрібен проект ETS, за допомогою якого він був запрограмований.
СПОСТЕРЕЖЕННЯ
Деякі міркування щодо використання безпеки KNX:
- Індивідуальна зміна адреси: у проекті з кількома вже запрограмованими захищеними пристроями, які спільно використовують групові адреси, зміна індивідуальної адреси в одному з них призводить до необхідності програмування решти пристроїв, які спільно використовують групові адреси.
- Програмування пристрою скидання: під час спроби запрограмувати пристрій скидання до заводських налаштувань ETS виявляє, що використовується FDSK, і запитує підтвердження для створення нового ключа інструменту, щоб перепрограмувати пристрій.
- Пристрій, запрограмований в іншому проекті: якщо ви спробуєте завантажити пристрій (безпечно чи ні), який уже безпечно запрограмовано в іншому проекті, ви не зможете завантажити його. Вам доведеться відновити оригінальний проект або виконати заводські налаштування.
- Ключ BCU: цей пароль втрачається або вручну, або під час вивантаження.
Приєднуйтесь і надсилайте нам свої запити щодо пристроїв Zennio: https://support.zennio.com
Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Неф P-8.11 45007 Толедо. Іспанія
Тел. +34 925 232 002
www.zennio.com
info@zennio.com
Документи / Ресурси
 |
Zennio KNX Secure Securel v2 Encrypted Relay [pdfПосібник користувача KNX, Secure Securel v2 Encrypted Relay, KNX Secure Securel v2 Encrypted Relay, v2 Encrypted Relay, Encrypted Relay, Relay |
